NTP è un protocollo basato su UDP utilizzato per sincronizzare orologi attraverso una rete informatica. I servizi basati su UDP includono anche DNS, SNMP, NTP, chargen e RADIUS, che sono quindi potenzialmente vettori di attacco DDoS dal momento che il protocollo è di tipo "connectionless", e gli indirizzi IP di origine possono essere falsificati dagli attaccanti che hanno il controllo di host compromessi residenti su reti che non hanno implementato misure anti-spoofing basilari.
Il "gradimento" di NTP da parte del cybercrimine viene certificato da Arbor Networks, specialista nelle soluzioni per la protezione da attacchi DDoS e minacce avanzate che ha pubblicato i dati relativi agli attacchi DDoS globali ricavati dalla propria infrastruttura per il monitoraggio denominata ATLAS.
Il report evidenzia che il traffico NTP globale medio è passato da 1,29 GB/sec di novembre 2013 a 351,64 GB/s di febbraio 2014.
NTP è risultato essere stato sfruttato nel 14% degli eventi DDoS complessivi, ma nel 56% degli eventi superiori a 10 GB/sec e nell'84,7% di quelli superiori a 100 GB/sec.
"Arbor continua a monitorare e mitigare gli attacchi DDoS dal 2000. Il picco delle dimensioni e della frequenza degli attacchi di grandi dimensioni avvenuti sinora nel 2014 non ha precedenti - ha dichiarato Darren Anstee, Director of Solutions Architects di Arbor Networks -. Questi attacchi sono divenuti talmente grandi da rappresentare una minaccia estremamente seria per l'intera infrastruttura Internet, dagli ISP fino alle aziende".